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(54) Titre: PROCEDE DE SECURISATION DE DONNEES METTANT EN OEUVRE UN ALGORITHMS CRYPTOGRAPHIQUE 
(57) Abstract j 



The invention concerns a 
method for data securement using 
a cryptographic algorithm com- 
prising at least a cycle executing 
repetitive operations of processing 
data elements (K2, Rl) to pro- 
duce encrypted information (C), 
said method comprising at least a 
step (120, 220) randomly modify- 
ing the execution of at least one 
operation from one cycle to the 
next or at least one of the data el- 
ements such that the encrypted in- 
formation is unaltered by said ran- 
dom modification. 

(57) AbregS 

L' invention conceme 
un proceed de s6curisation de 
donnees mettant en oeuvre un 
algorithme cryptographique 
comprenant au moins un 
cycle d*execution d'operations 
r6p6titives de traitement 
d^ldments de donnees (K2, Rl) 
pour ^laborer une information 
chiffree (C), ce precede* 
comprenant au 
d'au moins un des 
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PROCEDE DE SECURIS ATION DE DONNEES METTANT EN OEUVRE UN 
ALGORITHME CRYPTOGRAPHIQUE 

5 La presente invention conceme un procede de securisation de donnees, 

destine par exemple a etre mis en oeuvre par le microprocesseur d'une carte bancaire ou 
une carte d'autorisation d'acces lors d'une connexion a un terminal informatique 
d'authentification. 

Les procedes de securisation de donnees de type connu mettent en 
10 oeuvre un algorithme cryptographique comprenant des cycles d'execution d' operations 
repetitives de traitement d'elements de donnees contenus dans une memoire de la carte 
pour elaborer une information chiffree destinee a etre communiquee au terminal 
informatique. 

L'execution du procede par le microprocesseur de la carte engendre 

is remission de signaux derives tels que des pics de consommation au niveau de 
ralimentation electrique du microprocesseur, ou des variations du rayonnement 
electromagnetique de sorte que l'enveloppe du rayonnement electromagnetique est 
significative des donnees traitees. Un fraudeur desirant utiliser de fa?on non autorisee 
les cartes a microprocesseur peut lancer a plusieurs reprises l'execution du procede et 

20 analyser les signaux derives emis pour etablir des correspondances entre les differentes 
operations de traitement et chaque signal ou serie de signaux. A partir de ces 
correspondances, et en soumettant par exemple la carte a des perturbations electroma- 
gnetiques ou des baisses de tension a des instants precis du deroulement de 
I'algorithme, le fraudeur peut etudier I'information chiffree obtenue et les differences, 

2 5 ou au contraire l'absence de differences, entre les signaux derives emis pour decouvrir 
les donnees contenues dans la memoire de la carte. 

Pour compliquer une telle analyse des signaux derives, on a pense a 
engendrer des signaux parasites venant s*ajouter aux signaux derives emis lors de 
l'execution du procede. L'extraction des signaux correspondant a Texecution du procede 

30 est alors plus delicate mais demeure possible. On a egalement pense a concevoir les 
composants electroniques de la carte et le programme d'execution du procede de sorte 
que les signaux derives emis soient independants de la valeur des donnees sensibles. 
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Toutefois, ceci complique la realisation des cartes sans assurer une protection 
satisfaisante des donnees. 

Un but de 1'invention est de proposer un procede de securisation efficace 
ne presentant pas les inconvenients precites. 
5 En vue de la realisation de ce but, on prevoit, selon l'inveniion, un 

procede de securisation de donnees mettant en oeuvre un algorithme cryptographique 
d'execution d f operations de traitement d'elements de donnees pour elaborer une 
information chiffree, ce procede comprenant au moins une etape de transformation 
aleatoire de Texecution d f au moins une operation d'un cycle a un autre ou de 

10 transformation aleatoire d'au moins un des elements de donnees de telle sorte que 
rinformation chiffree soit inchangee par cette transformation aleatoire. 

Par transformation aleatoire de 1'execution d'au moins une operation, on 
entend une modification de l'ordre d'execution d'operations ou de parties d'operations, 
ou une modification du deroulement d'une seule operation. Ainsi, au moins une 

is operation et/ou au moins une des donnees traitees sont modifiees aleatoirement. ce qui 
affecte de fa<?on aleatoire les signaux derives emis. II est de ce fait tres difficile pour un 
fraudeur de distinguer les difFerentes operations de traitement et de decouvrir les 
donnees a partir des signaux derives. En outre, la modification aleatoire n'affecte pas 
rinformation chiffree de sorte que celle-ci peut etre utilisee de fa?on habituelle apres 

2 o son elaboration. 

D'autres caracteristiques et avantages de Tinvention apparaitront a la 
lecture de la description qui suit d ! un mode de mise en oeuvre particulier non limitatif 
de Tinvention, en relation avec la figure unique annexee illustrant sous forme d'un 
schema par blocs le deroulement du procede selon ce mode de mise en oeuvre. 

2 5 Le procede de securisation selon Tinvention est ici decrit mettant en 

oeuvre un algorithme cryptographique symetrique de type DES (abreviation des termes 
DATA ENCRYPTION STANDARD) en vue d'elaborer une information chiffree C de 
64 bits a partir d'un bloc message M et d ! une cle secrete Kl eux-memes de 64 bits. 

Le procede debute par la permutation 10 des bits du bloc message M 

3 o entre eux pour former le bloc MO. 

Le bloc MO est alors divise en deux blocs Ml et M2 de 32 bits lors 
d'une etape de division 20. 
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II est ensuite precede a l'expansion 30 du bloc M2 pour former un bloc 
M3 de 48 bits. Cette expansion 30 est par exemple realisee en decoupant le bloc M2 en 
huit quartets et en ajoutant a chaque quartet le bit extreme adjacent des quartets 
encadrant le quartet conceme (les quartets extremes etant consideres comme 
5 adjacentes). 

Parallelement a ces operations, une permutation 1 10 est effectuee sur les 
bits de la cle Kl pour former la cle K2. Les bits non sigruficatifs de la cle Kl sont 
simultanement supprimes de sorte que la cle K2 a seuiement 56 bits. 

Selon i'invention, les bits de la cle K2 sont alors modifies aleatoirement 
io lors d'une transformation 120. Les bits de la cle K3 correspondant aux bits modifies de 
la cle K2, ici marques par une etoile, sont memorises. La transformation aleatoire 120 
est par exemple realisee en associant a la cle K2, par l'intermediaire d'un operateur 
logique de type OU exclusif, un nombre aleatoire engendre par un generateur de 
nombres non predictibles de la carte. 
15 Une cle K4 est obtenue par la rotation 130 des bits de la cle K3. Puis, 

une permutation 140 est realisee sur les bits de la cle K4 pour former la cle K5. 
Simultanement a la permutation 140, les bits non significatifs de la cle K4 sont 
elimines de sorte que la cle K5 comporte 48 bits. 

Le procede se poursuit par l'association 210 du bloc M3 et de la cle K5 
20 par l'intermediaire d'un operateur logique de type OU exclusif. Le resultat de cette 
association est le bloc Rl . 

La transformation inverse des bits du bloc Rl correspondant aux bits 
modifies par la transformation 120 est ensuite realisee pour former le bloc R2. Cette 
transformation 220 inverse de la transformation 120 vise a remettre les bits du bloc Rl 
25 correspondant aux bits marques d'une etoile dans l'etat dans lequel ils auraient ete en 
l'absence de la transformation 120. 

II est ensuite procede, de facon classique, a la division et au traitement 
230 du bloc R2, a la permutation 240 des bits du bloc R3 formes lors de l'etape 230, et 
a l'association 250 du bloc R4 resultat de l'etape 240 au bloc Ml par un operateur OU 
3 o exclusif pour former le bloc R5 . 

Le groupe d'operations, designe de maniere generate par la reference 
270. est ensuite execute a nouveau a quinze reprises en affectant, a chacune de celles-ci, 
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la valeur du bloc Ml au bloc M2 et la valeur du bloc R5 au bloc Ml lors d'une etape 
d'affectation 260. 

Le precede se termine par l'operation 300 d'obtention de l'information 
chiffree C par la permutation inverse et la reunion du bloc dernier M2 et du bloc 
5 dernier R5 obtenus. 

On comprend que i'etape de modification aleatoire de la cle K2 
comprend la phase de transformation 120 et la phase de transformation inverse 220. 
Ces deux phases permettent d'obtenir une information chiffree C qui n ! est pas affectee 
par cette modification aleatoire. 
10 On pourrait egalement realiser de la meme maniere une modification 

aleatoire du bloc M2 et/ou d'une autre donnee. 

Selon un autre mode de mise en oeuvre de l'invention, lequel peut etre 
associe a une etape de modification telle que precedemment decrite, l'execution d'au 
moins une operation peut etre modifiee de fa9on aleatoire d'un cycle a 1'autre, un cycle 
is pouvant etre un cycle complet d'execution de l'algorithme ou un cycle intermediate 
d'execution d'un groupe d'operations. 

Par exemple, une determination aleatoire de l'ordre d'execution de 
certaines operations peut etre realisee au cours d'un cycle d'execution de l'algorithme. 
Les operations retenues seront celles dont l'ordre d'execution les unes par rapport aux 
20 autres n'influent pas sur le resultat. Pour realiser cette determination, on pourra prevoir 
a la fin des operations choisies un saut conditionnel vers certaines operations en 
fonction de la valeur d'un nombre aleatoire ou definir un tableau des adresses des 
differentes operations parcouru de fa9on aleatoire. 

A titre d'exemple, la permutation 10 des bits du bloc message M 
25 pourrait etre effectuee apres la permutation 1 10 des bits de la cle Kl ou inversement. 

De meme, il pourrait etre prevu une determination aleatoire de l'ordre 
d'execution des operations du groupe 270 pour chaque cycle intermediaire d'execution 
de celles-ci (16 cycles intermediates d'execution de ces operations pour un cycle 
complet d'execution de Talgorithme). La encore, l'ordre d'execution de ces operations 
3 o sera choisi pour ne pas influer sur le resultat. 

Par aiileurs, pour certaines operations, les donnees sont traitees par 
elements. Ainsi, lors de l'expansion 30, les blocs M2 sont traites par quartets. Lors de 
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cette operation, on peut prevoir de determiner aleatoirement l'ordre de traitement des 
differents quartets. De meme, lors de la permutation 140 ies bits de la cle K4 sont 
traites individuellement. Une etape de determination aleatoire de l'ordre de traitement 
des bits peut egalement etre prevue pour l'execution de cette permutation. Les quartets 
5 du bloc M2 peuvent egalement etre traites en alternance avec les bits de la cle K4 ? c'est- 
a-dire que Ton traite par exemple un premier quartet du bloc M2 puis une serie de bits 
de la cle K4, puis un deuxieme quartet du bloc M2 etc., en memorisant a chaque fois 
les elements de donnee traites afin de controler que toutes les operations requises sont 
' bien executees. 

L0 Bien entendu, Tinvention n'est pas limitee au mode de realisation qui 

vient d'etre decrit, mais englobe au contraire toute variante reprenant, avec des moyens 
equivalents, ses caracteristiques essentielles. 

En particulier, bien que 1'invention ait ete decrite en relation avec un 
algorithme de type DES, l'invention peut etre appliquee a d'autres algorithmes 
is symetriques qui precedent par modification de bits. Ainsi, la modification etant 
effectuee au moyen d'un operateur logique du type OU EXCLUSIF, la longueur des 
elements de donnees non transformes est identique a la longueur de ces elements de 
donnees transformes. 

De plus, les nombres de bits des donnees ne sont mentionnes qu'a titre 
2 o indicatif et peuvent etre modifies pour etre adaptes au degre de securisation envisage. 

On notera par ailleurs que tous les elements de donnees M, M0 ? Ml, 
M2 ? M3, Kl, K2, K3, K4, K5, Rl, R2, R3, R4 et R5 peuvent etre transformes en leur 
associant, par rintermediaire de Toperateur logique OU EXCLUSIF, un nombre 
aleatoire sachant que, posterieurement a cette etape de transformation aleatoire, on 
25 procedera a une etape de transformation inverse de sorte que 1' information chiffree C 
soit inchangee par lesdites transformations. 

En particulier, les elements de donnees peuvent etre des cles Kl, K2, 
K3, K4, K5 ou des blocs de message M, MO, Ml, M2, M3 ou des blocs de messages 
associes a une cle par un operateur logique du type OU EXCLUSIF Rl, R2, R3, R4, 
30 R5. 

On notera enfin que, si Fetape de transformation aleatoire est une etape 
prealable au groupe d'operations execute a plusieurs reprises et si Fetape de 
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transformation inverse est une etape posterieure audit groupe d' operations, il suffit de 
generer un nombre aleatoire une fois et de traiter le bloc de message M par Talgorithme 
pour obtenir une information chififree, tous les elements de donnees du bloc etant 
modifies. La chaine des donnees est protegee de bout en bout. En outre, en ne 
5 multipliant pas les etapes de transformation et le nombre de nombres aleatoires 
generes, Talgorithme est mis en oeuvre rapidement, ce qui est necessaire dans le cas 
d'une carte a puce ou la duree de 1* execution d'un algorithme doit etre minimale. 
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REVINDICATIONS 

1. Procede de securisation de donnees (M) mettant en oeuvre ; dans un 
microprocesseur d'une carte a puce, un algorithme cryptographique d'execution 
d'operations de traitement d'elements de donnees (M, MO, Ml, M2, M3, Kl, K2, K3, 

5 K4. K5, Rl, R2, R3, R4, R5) pour elaborer une information chiffree (C), caracterise en 
ce qu'il comprend au moins, d'une part, une etape de transformation (120) aleatoire de 
bits d'au moins un des elements de donnees (K2) en associant audit element de donnees 
(K2), par Tintennediaire d'un operateur logique du type OU EXCLUSIF, un nombre 
aleatoire, et, d'autre part, posterieurement a cette etape de transformation aleatoire, une 
10 etape de transformation inverse (220), de telle sorte que l'information chiffree (C) soit 
inchangee par ces etapes de transformation (120, 220). 

2. Procede de securisation selon la revendication 1, caracterise en ce qu'un 
element de donnees transforme de maniere aleatoire est une cle (Kl, K2, K3, K4, K5). 

3. Procede de securisation selon Tune des revendications 1 ou 2, caracterise en ce 
is qu'un element de donnes transforme de maniere aleatoire est un bloc de message (M, 

M0,M1,M2, M3). 

4. Procede de securisation selon l'une des revendications 1, 2 ou 3, caracterise en 
ce qu'un element de donnees transforme de maniere aleatoire est un bloc de message 
associe a une cle par un operateur logique du type OU EXCLUSIF (Rl, R2, R3 ? R4, 

20 R5). 

5. Procede de securisation selon Tune des revendications precedentes, caracterise 
en ce que ralgorithme cryptographique d ! execution d'operations de traitement de 
donnees (M, M0, Ml, M2, M3, Kl, K2, K3, K4, K5, Rl, R2, R3, R4, R5) comprend 
un groupe d'operations (270) execute a plusieurs reprises. 

25 6. Procede de securisation selon la revendication 5, caracterise en ce que l'etape 

de transformation aleatoire est une etape prealable au groupe d'operations (270) execute 
a plusieurs reprises et en ce que l'etape de transformation inverse est une etape 
posterieure audit groupe d'operations (270). 

7. Procede de securisation selon l'une des revendications precedentes, caracterise 
3 0 en ce qu'il comprend en outre une etape de modification aleatoire de 1'ordre d'execution 

des operations du groupe d'operations (270). 

8. Procede de securisation selon l'une des revendications precedentes, caracterise 
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en ce que l'algorithme cryptographique est du type DATA ENCRYPTION 
STANDARD. 



5 
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